WordPress en Joomla behoren nog altijd tot de meest populaire contentmanagementsystemen (CMS’en). Maar hierdoor zijn ze ook populair voor cybercriminelen die deze platformen targeten voor hacking en het injecteren van kwaadaardige content.

ThreatLabZ-onderzoekers van Zscaler hebben de afgelopen weken verschillende WordPress- en Joomla-sites gevonden die waren geïnfecteerd met Shade-/Troldesh-ransomware, backdoors en redirectors, en verschillende phishing-pagina’s bedienden. De meeste bedreigingen zijn het gevolg van kwetsbaarheden in gebruikte plug-ins, thema’s en extensies.

Shade-/Troldesh-ransomware

Shade-ransomware is behoorlijk actief. Er zijn een aantal aangetaste WordPress- en Joomla-sites gedetecteerd die worden gebruikt om de ransomware te verspreiden. Het gaat hierbij om WordPress-sites, versies 4.8.9 tot 5.1.1, die SSL-certificaten gebruiken die zijn uitgegeven door ACME (Automatic Certificate Management Environment)-gedreven certificeringsautoriteiten (CA), zoals Let’s Encrypt, GlobalSign, cPanel en DigiCert. Deze aangetaste WordPress-sites hebben mogelijk verouderde CMS-plug-ins/-thema’s of server-side software die ook de reden voor het misbruik kunnen zijn.

In de afgelopen maanden blokkeerde Zscaler transacties voor de gecompromitteerde WordPress- en Joomla-sites vanwege Shade-ransomware-payloads (13,6%) en phishing-pagina’s (27,6%), alsook coinminers, adware en kwaadaardige redirects.

Verborgen directory op de HTTPS-sites

Zscaler heeft de HTTPS-sites enkele weken gemonitord en ontdekte dat de aanvallers een verborgen directory gebruikten voor het opslaan en distribueren van de Shade-ransomware en phishing-pagina’s. Deze verborgen well-known-directory in een website is een URI-prefix voor well-known locaties en wordt doorgaans gebruikt om het eigendom van een domein aan te tonen.

Beheerders van HTTPS-websites die ACME gebruiken voor het beheren van SSL-certificaten plaatsen een unieke token in die directory om aan te tonen dat ze het domein beheren. Ze ontvangen van de CA een specifieke code voor in die directory, waarna de site gescand wordt om deze code te valideren. Aanvallers gebruiken deze locaties nu om malware- en phishing-pagina’s te verbergen voor de beheerders. Een effectieve tactiek omdat de directory aanwezig is op de meeste HTTPS-sites en bovendien verborgen is.

Hieronder een overzicht van van de verschillende soorten bedreigingen die zijn gevonden in de verborgen directory:

ThreatLabZ-detected-threats